Marsの5εcur1ty備忘録

不定期的にCTF、脆弱性検証、バグバウンティレポート分析など、情報セキュリティを中心とした技術ブログを更新します。

悪性トラフィック解析をもっと便利に!EK Fiddleの使い方

Tool Malware Analysis

github.com

このGithubに書かれた通りにEKFiddleをセットアップしておきます。

ちなみに設定ファイルのパスの問題で、CustomRules.csの読み込みがなかなか成功しませんでした。 解決策: (OptionsのScriptタブをC#かつToolsタブのText Editorをnotepad.exeにしておく前提で)
1. Fiddlerを開く
2. FiddlerScriptというタブをクリックします
f:id:z773733850:20191114020554p:plain
3. CustomRules.csのコードをコピーし、ここのコードを置き換える
4. 「Save Script」ボタンを押し、コードを保存する
f:id:z773733850:20191114021025p:plain
5. Fiddlerを再起動する
これでOKのはず

Fiddlerを再起動した際にWindow Titleに「EKFiddle」という文字が加わりました。
f:id:z773733850:20191101171728p:plain

画面全体:
f:id:z773733850:20191101174625p:plain

このトラフィックは、ドライブバイダウンロード攻撃のトラフィックであり、エクスプロイトキットを特定したいと思います。

まず、以下のようにRun Regexesをクリックします。
f:id:z773733850:20191101174905p:plain

Tool -> Regexes -> Run Regexes

すると、画面が変わります。

f:id:z773733850:20191101175109p:plain

そこで、エクスプロイトキットはRIG EKと特定できます。
また、ドライブバイダウンロード攻撃の経過(Landing page, flash exploit, payload)も解析してくれるので、非常に便利です。

How to fix 'Could not get vmci driver version: The handle is invalid.' problem in VMware?

Error Fix

Reference:

www.youtube.com

Error Message:

f:id:z773733850:20190830195522p:plain

When you're going to open a vmware machine, this error message appears. How can you fix it?

Step 1:
Find the location of the configuration file from the main window.
f:id:z773733850:20190830195722p:plain

In my case, it was
f:id:z773733850:20190830195757p:plain

Step 2:
Open the configuration file in NotePad.
f:id:z773733850:20190830200005p:plain
f:id:z773733850:20190830200123p:plain

Step 3:
Find 'vmci0.present' attribute.
f:id:z773733850:20190830200330p:plain

Change the value 'TRUE' to 'FALSE'.

Step 4:
Save the configuration file and open this configured virtual machine again.
Result: It worked.

How to fix unable to use bridged network in VMware(Kali Linux)

Error Fix

Issue: Cannot connect to the internet with bridge connection.

  • I configured the method of network connection to bridged, but it didn't work.
    f:id:z773733850:20190819163443p:plain

  • Check the network condition in ifconfig:
    f:id:z773733850:20190819162547p:plain

Interface eth0 seems not working.

My solution:
f:id:z773733850:20190819162821p:plain

  • Step 1: Open vmnetcfg.exe as the administrator.
  • Step 2: Change the VMnet information of your target machine 'bridge to' to the proper one.
    In my case, that was 'Intel(R) Dual...'.
    f:id:z773733850:20190819163759p:plain

X-Frame-Optionのバイパス紹介

Web

GitHub

github.com

Code:

    <script src="https://unpkg.com/@ungap/custom-elements-builtin"></script>
    <script type="module" src="https://unpkg.com/x-frame-bypass"></script>
    <iframe is="x-frame-bypass" src="https://victimxxxxxxxxxx.com" width="100%" height="100%" referrerpolicy="no-referrer" />
    </html>

注釈:referrerpolicy="no-referrer"はiframeタグ内のHTTPリクエストのRefererフィールドを隠すために使用するもの。

Copyright Mars 2019